[LisaAlisa]

краткое содержание дня

[Туся]

Ну и напоследок дня: звонит знакомый,просит помочь срочно поселить женщину ,которая привезла сына в Семашко(парень в коме),звоню по агенствам,к слову сказать,большинство агенств у нас "держат" сугубо верующие люди....
Вопрос "Как будем делить комиссию?" просто ДОБИЛ....Какая блядь комиссия????
Неужели не осталось ничего человеческого в людях????

[Gvirinko]

А я всё думаю: и я тоже причастна к твоим напрягам.. Сорри

[Туся]

Gvirinko (17 мая 2012 - 21:04) писал:

А я всё думаю: и я тоже причастна к твоим напрягам.. Сорри

Не,тут не в этом дело....Для меня это не напряг,я зарабатываю на другом.Просто некоторые хапают и ртом и жопой,а потом удивляются,почему к нашему брату такое отношение....На чужом горе не разбогатеешь,совесть надо иметь хоть изредка.
Надо всем - это понятно,просто"надо",они ж ведь разные бывают,правда?

ЗЫ.А насчёт нашего разговора -всё в силе,мне это не трудно и времени не занимает,заодно знакомлюсь с полезными людьми,мало ли -когда нибудь мне понадобиться...А понадобится им продать-купить,знают кому звонить.Это дополнительный фундамент,так сказать

[ratibor]

Туся, даже не знаю что сказать. риелтор с совестью и понятиями по сектору работы - это блин бриллиант в нашем пыльном городишке. помните что Вадику в чятике говорил про вашего брата риелтора? так я это... забираю слова назад. бывают суровые и справедливые, от них и будем мерять респект

[Туся]

Это ratibor,как в шахматах -думаешь не за сейчас,а на послезавтра...Земля -то ,она круглая,никогда не знаешь,как повернётся.
Уж лучше по-совести,мне так спокойней,да и пацан в семье,пусть лучше правильное видит сразу,чтобы проще потом в жизни было разбираться...

[Инквизитор]

Блджад.
Поймал троян-шифровщик, из новых. Trojan.Matsnu.1
Лицензионный ДрВеб со всеми апдейтами проебал его как пьяная старшеклассница девственность. Не, какой-то файлик он перехватил и засунул в карантин, но этого оказалось недостаточно.
В результате зашифрованы все пользовательские файлы на всх дисках. Регедит, таскман и мсконфиг залочены. Нучтозапиздец, а?
Скачал тулзу для дешифровки, выпущенную ДрВебовцами. С трудом и из посторонних источников, ибо штатный фтп не выдавал нихрена. Работает, но для начала процесса ей нужно скормить какой-нибудь зашифрованный файл и его оригинал. Хорошо хоть оригиналы нескольких картинок я недавно запихал на свой сайт.

Самое интересное, что гад отработал на лету, без перезапуска винды.
Необычно то, что подцепил заразу на сайте с кряками (не помню на каком, но картинок с поревом там было немало). Этот паршивец по идее шарится со спамом в мыле.

В общем, приятного мало. Дешифровщик щас дрочит все файлы на всех дисках поголовно, ждем-с...

[MamaMia]

Инквизитор, ужасть какая... я и не думала, что вирусня такое может творить.

[ratibor]

Инквизитор, дропперы сейчас генерятся такие, что ни вебовцы ни касперские просто не успевают. сочуствую

[Инквизитор]

MamaMia, может, зараза...

Как выяснилось, это какая-то новая модификация. Упомянутый мной троян дрвебовцами был отловлен в апреле (http://news.drweb.co...&c=5&lng=ru&p=0) и изучен. Называется Trojan.Matsnu.1 (в терминологии Касперского - Trojan.Rannoh); он распространялся по мылу, а экран блокировки был на немецком и требовал 50 евро. Мой был подхвачен, по-видимому, через эксплойт на сайте (дрвеб ругнулся на "подозрительный файл, возможно Script.virus"), а экран блокировки - на русском и требует 920 гривен.

Описание его действия тут: http://news.drweb.co...&c=5&lng=ru&p=0
Ссылка на програму-дешифровщик: ftp://ftp.drweb.com/...snu1decrypt.exe

Дополнительно нюансы и рекомендации от себя:

* зараза отрабатывает на лету, без перезагрузки винды.
* троян шифрует пользовательские файлы (в формате документов-рисунков-архивов-медиа, и не во всех папках), попутно переименовывая их в формате locked-имя_исходного_файла.расширение_исходного_файла.???? , где ???? - случайные символы (согласно данным дрвеб - 4 символа, но я нашел и 3).
* троян работает очень быстро и незаметно. в процессе не было заметно никакого особого шевеления диском, а зашифрованы оказались тысячи файлов, в том числе и увесистые архивы и фильмы.
* троян блокирует редактирование реестра.
* троян блокирует запуск программ regedit.exe, taskman.exe и msconfig.exe путем прописывания в реестре запуска оных программ через дебаггер, которого на самом деле не существует. При попытке запуска выдает матюк "файл не найден", хотя сами-то программы никуда не делись, это винда не может найти псевдо-дебаггер. Запуск этих программ возможен при переименовании, т.к. блокировка делается по именам файлов.
* троян прописывает в реестре запуск исполняемого файла, который и вызывает блокирующее окно после перезапуска компьютера.

В общем, классический trojan.encoder со стандартным набором пакостей, только какая-то новая модификация носителя, не отловленная антивирусом.

Поскольку для работы утилиты, расшифровывающей файлы, нужно знать ключ шифрования, а ключ троян на локальной машине не хранит, тулза работает так:
* запустить
* открыть зашифрованный файл
* открыть оригинал
Имея шифровку и оригинал, утилита вычисляет ключ шифра и начинает проходить по всем дискам, расшифровывая файлы, восстанавливая исходное имя и записывая их рядом с зашифрованными.

Внимание:
1. Может случиться, что программа зависнет - надо подождать. Я в первый раз ее закрыл, отчего при повторном запуске расшифрованные файлы тупо записываются еще раз с дополнительным суфиксом .decrypted01 (.decrypted02 и т.д. при повторных запусках) в имени файла.
2. Поскольку файлы фактически копируются, при обработке разделов с большим количеством пользовательских файлов дешифровщику может не хватить места. В этом случае, думаю, имеет смысл подцепить внешний пустой диск, куда скопировать папки с зашифрованными файлами, но так, чтбы оставалось не меньше половины свободного места. Мне в этом мысле повезло, ибо на всех разделах было достаточно места, а съемные винты на момент заражения не были подключены.
3. Рекомендация: заранее заныкайте несколько файлов (документы ворда, рисунки, архив с чем-нибудь, дистрибутив Оперы) где-нибудь в сети, и держите их копии (не переименовывайте, чтоб не забыть) на компе. Если (не дай Бог) нападет такой троян на вашу машину, будет что скормить дешифровщику.
4. Если троян попался, имеет смысл отключить сеть. Ибо эта падла лазит в нее и, получив команду с сервера своих разработчиков (да обосрут их боги сверху донизу), может нагадить снова, и по-крупному, вплоть до удаления всего.

И главное:
4. Утилита предназначена ТОЛЬКО для восстановления зашифрованных файлов. Это НЕ антивирус и лечить винду от напасти она не умеет.
5. Лечить придется вручную, причем одним лишь антивирусным сканером не обойтись. Я делал так (хаотично, но се ля ви):
* загрузился с Live CD и, покопавшись, прибил подозрительный файл с именем наподобие 3454468678579474735734.exe в папке Windows\system32
* прибил содержимое папки Temp (у меня ХР. поэтому C:\Documents and Settings\seva\Local Settings\Temp; в семере немного иной путь). Там, правда, не было ничего интересного, но на всякий случай.
* перезагрузился, запустилась винда. Но системные утилиты и редактирование реестра остались недоступными, ибо порченые параметры в реестре никуда не делись.
* полез в гугль. редактирование реестра исправил этим способом:

Скрытый текст

Цитата

Троян подцепил. Варианта два. Первый простой и очень тупой. Какой тебе по душе. Первый: качай AVZ http://z-oleg.com/secur/ и после проверки установи восстановление системы в меню Файл. Теперь очень тупой:
Дело в том, что вирусы «прописываются» в Реестре Windows (при этом в разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]создается параметр REG_DWORD DisableRegistryTools со значением 1). А чтобы их (вирусы) нельзя было выкорчевать из системы, они и делают невозможным запуск Редактора реестра Windows.
Как сделать доступным запуск Редактора реестра.
Даже после удаления вируса, запретившего запуск Редактора реестра, запуск его невозможен. Чтобы вновь сделать его доступным, нажми Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызови окно Свойства: Сделать недоступными средства редактирования реестра –> установи переключатель Отключен (или Не задан) –> Применить –>OK. Закрой окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверни все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажми клавишу F5 (или щелкни правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).
Примечания
1. Групповая политика Сделать недоступными средства редактирования реестра отключает использование Редактора реестра (regedit.exe). Если эта политика включена, а пользователь попытается запустить Редактор реестра, будет выведено сообщение о том, что текущая политика запрещает выполнение этого действия.
2. Можно сделать доступным запуск Редактора реестра Windows, запустив альтернативный Редактор реестра (например, загрузившись с аварийно-восстановительного диска типа ERD Commander), в разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] нужно найти параметр REG_DWORD DisableRegistryTools и установить его значение 0 (или совсем удалить этот параметр).
Внимание! При работе с Редактором реестра Windows следует соблюдать осторожность, а то можно такого наредактировать, что придется переустанавливать операционную систему!..
3. При работе пользователя ПК в корпоративной локальной сети отключение Редактора реестра зачастую производится системным администратором – для защиты от деструктивных действий пользователя с шаловливыми ручками! – на то он и сисадмин!..
4. Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе [HKEY_CLASSES_ROOTregeditshellopencommand] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"
Чтобы информацию из reg-файлов можно было добавлять в Реестр, в разделе [HKEY_CLASSES_ROOTregfileshellopencommand] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"
Вирусы иногда искажают эти параметры.
Выбирай любой способ какой тебе нравиться.

(http://forum.xakep.ru/m_1361002/tm.htm)
Я использовал второй вариант, см. выделенное жирным.

* запуск системных утилит восстановил так:

Скрытый текст

Это не помогло, ибо ничего и не было там:

Цитата

Даже после удаления вируса, запретившего запуск msconfig, запуск его
невозможен. Чтобы вновь сделать возможным запуск msconfig нажмите Пуск
–> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется
диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный
компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система
->Не запускать указанные приложения Windows, посмотреть нет ли в списке msconfig или других нужных программ, удалить список
–> Применить –> OK.

А вот это сработало:

* в реестре запустил поиск по слову msconfig и нашел ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options, а в ней разделы с именами нужных утилит:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskman.exe]

* в каждом из них оказался параметр "Debugger"="P9KDMF.EXE"

Эта ветка реестра отвечает за принудительный запуск конкретных программ в дебаггерах (или вне их) независимо от поведения остальных. Разумеется, запуск системных утилит через дебаггер, да еще и с подозрительным именем P9KDMF.EXE - это явно кака, поэтому эти параметры я удалил. После удаления они стали запускаться.

* После всего были запушены тулзы autoruns.exe (скачать можно отсюда: http://download.sysi...es/Autoruns.zip) и HijackThis.exe (http://lnk.nu/secure...eb.com/1xwu.exe), которые и показали, где насрано. Соответственно, из реестра с помошью этой информации был удален параметр запуска исполняемого файла трояна.


Сейчас, вроде, тьфу-тьфу-тьфу, все нормально. Будем посмотреть дальше.

[Eugene]

Инквизитор сказал:

экран блокировки был на немецком и требовал 50 евро

немецкие сайты такие немецкие...

[arrpoSt1m]

Поднадоело уже неделю без воды сидеть

[Инквизитор]

Eugene сказал:

немецкие сайты такие немецкие...

Ага. Но мой вариант попался русский
Забавная ситуация, кстати: я отловил таки дроппер (он был в одной из папок в %appdata%), проверил его ДрВебом со свежими базами - угроз не обнаружено. отослал его саппорту ДрВеб - отвечают, что такой файл уже есть в базах. Но мой-то антивирь его провтыкал! Придется копать глубже...

[Lara Kroft]

сцуко найти платье на вечеринку с латиноамериканским дресс-кодом (ну не люблю я латину, не люблю, не идет она мне) - это сущий гемор. Завтра пойду сшибать ноги по тупым, дорогим и неправильным киевским бутикам. Интернет результатов не дал ваще. Кругом какая-то срань типа "серенько, но благородно". Или студии бальных танцев, торгующие за страшные тыщи золотищем на телок без сисек и разве что для стриптиза сгодится. А мне на прием. Блять.

Впрочем, хотелось бы сказать, что я скучаю по Праге с ее чудесным шопингом, но это было бы лукавством, потому что там все качественно, дешево, и в конечном итоге некрасиво.

[Инквизитор]

Лархен, вам дорога в театр. Да и дешевле выйдет напрокат.

А вообще не понимаю я эти тематические показы тряпок. Или прием у посла Венесуэлы?

[Lara Kroft]

Инквизитор, да не, примитивнее все. Там не надо чтобы вот совсем, просто коктейльное в стиле.
Я в ужасе от того, что есть в магазинах. Реально, все, что я надела бы, не подходит по стилю,а что подходит, это просто ебаный стыд.

КТО бля придумал эту латину вообще?

прием у посла Венесуэлы скорее выглядел бы как лондонский шик.

А это вот цветастое с кучей драпировок и цветами в ухе - блииииин, ну я столько не выпью...
Так и мечусь, чтобы этот ужас найти примерно в порядочном виде.

[Lara Kroft]

У хозяйки моей походу началось. Оно, то самое. Раньше вообще не тревожила, просто приходила раз в месяц за деньгами, можно было платить вперед и не видеть ее даже дольше. Приходила, правда, всегда с какими-то конфетами, которые я не ем, да просила чаю, который я не пью. Но это уже моменты моей вежливости. Полчаса в месяц прихлебывания чая в ее компании вытерпеть можно было.
В прошлый раз моя жопа уже почуяла свой омоним, потому что кроме чая я выслушала длинный рассказ про болячки (довольно интимного плана), историю ее отношений с мужем, и что на себя надо рассчитывать, на себя. В этот момент вернулся мой мужик, она сразу как-то расстроилась и поинтересовалась, почему у нас то не так и это не эдак. В общем, выпихали.
Сегодня она проходила мимо, разбираясь в местном жэке с каким-то странно начисленным нам долгом. Со словами "Ох устала я, устала, мне бы водички" ломанулась к нам в наше отсутствие, нашла на плите немытую сковородку (можно подумать, после завтрака в семь утра сонные, убегающие на работу люди прямо все кидают и моют за собой плиту, сковородку и стены после жарки яичницы, имхо, для этого есть вечер), и принялась остервенело все мыть. В итоге я ничего не могу найти на своих местах, а еще пропала бутылка моего любимого оливкового масла. Оно вроде вот и мелочь, но сцуко я так хотела греческий салат, и этого масла в магазине под домом нет...
Есть у меня блин подозрение, что она его просто грохнула, после чего пришлось все мыть, а потом показать на меня пальцем, что я засранка. И ведь не признается, дрянь такая.
Вот такое счастье за полкосаря в месяц....

Одно радует. Осталась неделя и у меня будут сто квадратных метров и лес. Безо всяких климактерических баб.

[Туся]

Лара,ты купила сто квадратных метров леса?

[Lara Kroft]

Туся, не совсем

[MamaMia]

Lara Kroft, ничего себе хозяйка ты права, это именно "это самое". поздравляю с метрами и лесом, это круто!